■劉小明

中小學(xué)校園網(wǎng)服務(wù)器安全策略簡析

■劉小明

隨著走現(xiàn)教進(jìn)教育普師信通人息中手化小一的學(xué)機(jī)推校。進(jìn)，電，比腦電較和腦先互和進(jìn)聯(lián)網(wǎng)的網(wǎng)絡(luò)地的現(xiàn)區(qū)應(yīng)在甚用已至打經(jīng)實(shí)通了中小學(xué)教師聯(lián)系外面廣闊世界的通道，促進(jìn)教師教學(xué)理念的提升和教學(xué)方法的改變，也擴(kuò)大了中小學(xué)生獲取知識的途徑。

而隨著網(wǎng)絡(luò)應(yīng)用的不斷增長以及上網(wǎng)人數(shù)的增加，網(wǎng)絡(luò)的安全問題日益顯現(xiàn)出來。在校園網(wǎng)中，服務(wù)器擔(dān)負(fù)著學(xué)校的各種網(wǎng)絡(luò)應(yīng)用服務(wù)，安全性尤為重要。服務(wù)器面臨的主要威脅有病毒和木馬的感染、未授權(quán)訪問、網(wǎng)絡(luò)攻擊等幾個(gè)方面。下面是筆者在校園網(wǎng)和服務(wù)器管理工作中的一些思考。

操作系統(tǒng)的安全策略

安裝操作系統(tǒng)補(bǔ)丁

當(dāng)服務(wù)器安裝好操作系統(tǒng)之后，配置好網(wǎng)絡(luò)，就要給系統(tǒng)打補(bǔ)丁。如果是Windows系列的服務(wù)器，可以開啟自動(dòng)更新，安裝所有的關(guān)鍵更新。筆者建議使用360安全衛(wèi)士或者金山衛(wèi)士等工具進(jìn)行更新。因?yàn)檠a(bǔ)丁并不是安裝的越多越好，如果安裝了不需要安裝的補(bǔ)丁，不但浪費(fèi)系統(tǒng)資源，還有可能導(dǎo)致其他的問題。安全工具會(huì)根據(jù)服務(wù)器環(huán)境的情況智能安裝補(bǔ)丁，節(jié)省系統(tǒng)資源，保證安全。

BSD和Linux的默認(rèn)安裝就是很安全的系統(tǒng)，并且性能非常好，還是免費(fèi)的，如果沒有特殊需要，建議安裝這樣的開源系統(tǒng)。

安裝殺毒軟件

殺毒軟件不能解決所有的問題，但是殺毒軟件可以避免很多問題。Windows系列的操作系統(tǒng)，建議安裝賽門鐵克殺毒軟件的企業(yè)版，并配置為每天更新。如果服務(wù)器安裝的是BSD或者Linux操作系統(tǒng)，殺毒軟件可以不考慮，遇到能在這些操作系統(tǒng)上面運(yùn)行的病毒的幾率和中500萬大獎(jiǎng)的幾率差不多。

限制不必要的用戶，并使用安全的密碼

普通教師賬號、共享賬號等應(yīng)設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的賬戶，刪除已經(jīng)不再使用的賬戶。系統(tǒng)的賬戶越多，被人得到合法用戶的權(quán)限的可能性一般也就越大。一個(gè)安全的密碼應(yīng)該有足夠的長度，包含大小寫字母、數(shù)字和特殊符號，并且定期更換。

網(wǎng)絡(luò)部分的安全策略

啟動(dòng)防火墻或安裝防火墻

防火墻可以防止黑客對服務(wù)器中端口和漏洞的掃描、蠕蟲入侵以及校園網(wǎng)內(nèi)的惡意掃描。Windows2003操作系統(tǒng)已經(jīng)自帶防火墻程序，可以在本地連接屬性中的“高級”菜單中啟用，并設(shè)置它。如果覺得還不夠安全的話，可以安裝Norton Personal Firewall，提供多層防御機(jī)制，可自動(dòng)攔截入侵行為，控制所有的傳入和傳出通信，保護(hù)服務(wù)器的安全。

關(guān)閉不必要的服務(wù)

Windows服務(wù)很容易被攻擊者利用，以獲取訪問本地和遠(yuǎn)程系統(tǒng)資源的權(quán)限。作為一種防范措施，應(yīng)該禁用系統(tǒng)和應(yīng)用程序不需要的Windows服務(wù)，如Alerter、Browser、Messenger、Netlogon等。通過禁用不必要的服務(wù)，能夠減小受攻擊面，同時(shí)減少維護(hù)方面的工作，比如補(bǔ)丁程序、服務(wù)賬號等。

BSD和Linux操作系統(tǒng)也有一些不必要的系統(tǒng)服務(wù)，如果不需要就盡量關(guān)掉。其實(shí)在安裝這些網(wǎng)絡(luò)操作系統(tǒng)的時(shí)候，選擇最小安裝，然后根據(jù)需要再安裝相應(yīng)的服務(wù)，這樣不僅可以徹底解決安全的問題，還有效地提升系統(tǒng)的運(yùn)行效率。

應(yīng)用程序的安全策略

中小學(xué)校園網(wǎng)主要的服務(wù)器應(yīng)用程序，一般可分為B/S結(jié)構(gòu)的Web服務(wù)器程序和C/S結(jié)構(gòu)的應(yīng)用程序。因?yàn)榻Y(jié)構(gòu)的不同，它們的安

服務(wù)器面臨的主要威脅有病毒和木馬的感染、未授權(quán)訪問、網(wǎng)絡(luò)攻擊等。全側(cè)重點(diǎn)也不同。在此主要談一談Windows Web服務(wù)器IIS的安全策略。

1）網(wǎng)站目錄放置在NTFS分區(qū)上，并對目錄設(shè)置相應(yīng)權(quán)限。許多網(wǎng)絡(luò)管理員為了方便，設(shè)置為everyone的權(quán)限，是很不安全的。設(shè)置為Internet來賓賬號或IIS_WPG組的賬號權(quán)限就可以有效地提高安全性。

2）ASP、ASP.NET程序所在目錄的權(quán)限設(shè)置。如果這些程序是要執(zhí)行的，那么需要設(shè)置“讀取”權(quán)限，并且設(shè)置執(zhí)行權(quán)限為“純腳本”。不要設(shè)置“寫入”和“腳本資源訪問”，更不要設(shè)置執(zhí)行權(quán)限為“純腳本和可執(zhí)行程序”。

3）上傳目錄的權(quán)限設(shè)置?，F(xiàn)在許多的網(wǎng)絡(luò)攻擊，都是通過ASP、ASP.NET等程序上傳木馬或者病毒來實(shí)現(xiàn)的。這時(shí)需要注意，一定要將上傳目錄的執(zhí)行權(quán)限設(shè)為“無”，這樣即使上傳了ASP或者exe等木馬或者病毒，也不會(huì)在用戶瀏覽器里就觸發(fā)執(zhí)行。

4）數(shù)據(jù)庫所在目錄的權(quán)限設(shè)置。將Access所在目錄或者文件的“讀取”“寫入”權(quán)限都去掉，可以防止被人下載或篡改。Web應(yīng)用程序需要的是NTFS上Internet來賓賬號或IIS_WPG組賬號的權(quán)限，管理員只要將這些用戶的權(quán)限設(shè)置為可讀可寫，就可以保證程序正確運(yùn)行。

數(shù)據(jù)的安全

除了采用各種技術(shù)防止各種安全隱患外，還要有數(shù)據(jù)備份與恢復(fù)的應(yīng)急措施，保證受到網(wǎng)絡(luò)攻擊后，能盡快地恢復(fù)校園網(wǎng)服務(wù)。定期備份校園網(wǎng)服務(wù)器的數(shù)據(jù)，并且異地存儲(chǔ)，是校園網(wǎng)安全最重要的措施，也是最后的保障。

校園網(wǎng)服務(wù)器安全工作不是一勞永逸的，新的安全問題總在不斷地出現(xiàn)，必須根據(jù)情況的變化和出現(xiàn)的問題，不斷地修正和更新，保證校園網(wǎng)服務(wù)器和網(wǎng)絡(luò)的正常運(yùn)行。

10.3969/j.issn.1671-489X.2011.02.057

作者：劉小明，大學(xué)本科，中學(xué)一級教師。

山東省淄博市張店區(qū)教師進(jìn)修學(xué)校）